Keycloak HAProxy，带x509的钥匙斗篷_Keycloak_Spring Security Oauth2_Haproxy_X509_Client Certificates

Keycloak HAProxy，带x509的钥匙斗篷

keycloak

Keycloak HAProxy，带x509的钥匙斗篷,keycloak,spring-security-oauth2,haproxy,x509,client-certificates,Keycloak,Spring Security Oauth2,Haproxy,X509,Client Certificates,我有一个HAProxy作为我的应用程序的反向代理，该应用程序具有x509身份验证。HAProxy执行X509验证（基于客户端证书），并将证书添加回请求头SSL\u client\u CERT。现在，我想使用keydove从证书中识别用户。我有中给出的keydepate身份验证流，我的haproxy配置如下 frontend http-frontend bind *:8888 bind *:8888 transparent ssl crt /etc/x509/https/hapro

我有一个HAProxy作为我的应用程序的反向代理，该应用程序具有x509身份验证。HAProxy执行X509验证（基于客户端证书），并将证书添加回请求头

SSL\u client\u CERT

。现在，我想使用keydove从证书中识别用户。我有中给出的keydepate身份验证流，我的haproxy配置如下

frontend http-frontend
    bind *:8888
    bind *:8888 transparent ssl crt /etc/x509/https/haproxy.pem ca-file /etc/x509/https/myCA.pem verify required
    http-request redirect scheme https if !{ ssl_fc }
    http-request set-header SSL_CLIENT_CERT %[ssl_c_der,base64]
    default_backend app1

backend app1
    server server1 host.docker.internal:8443/auth/realms/ng/protocol/openid-connect/auth ssl verify none

从HAProxy转发的keydape url应该是什么

CERT\u CHAIN

头是否为必填项（如果是，如何获取它。ssl\u c\u der包含具有颁发者的服务器证书。我应该拆分它们吗？）

提取用户后，keydape将重定向到客户端中的url。如果是，如何在HAProxy中提及客户名称

该特定“客户端”的设置应该是什么？（oidc/公共/标准流程）

重定向之后，应用程序将如何获取访问令牌

我还尝试从HAProxy将请求转发到web应用程序，并尝试通过授权代码流登录。但是Keyclope抛出一个错误可能是因为，我在自定义浏览器身份验证流中只有

x509用户名表单执行

。

这方面运气好吗？我试图通过http头传递客户机证书和CA，每个Key斗篷文档，但Key斗篷似乎无法识别这些头。我已经尝试通过将证书硬编码到haproxy配置中来手动添加证书链值，但仍然没有成功。除了“无效用户”之外，KeyClope日志不会提供太多信息。。。因此，不清楚使用http头是否有问题，或者这是配置/CA捆绑包问题。请查看是否有帮助。这方面有什么进展吗？我试图通过http头传递客户机证书和CA，每个Key斗篷文档，但Key斗篷似乎无法识别这些头。我已经尝试通过将证书硬编码到haproxy配置中来手动添加证书链值，但仍然没有成功。除了“无效用户”之外，KeyClope日志不会提供太多信息。。。因此，不清楚使用http头是否有问题，或者这是配置/CA捆绑包问题。请查看是否有帮助。